2024. október 15.
FinTechShow

KEDVEZMÉNYES JEGYEK 2024.07.31-IG!

Megnézem

2024. november 26.
BankTechShow

KEDVEZMÉNYES JEGYEK 2024.07.31-IG!

Megnézem

2023.01.18.

Itt a digitális transzformáció irányait kijelölő térkép a bankok, fintech cégek számára

Szerző: Tudósítás

Kategóriák:

Hazai és EU-s jogszabályok | Összes hír | RegTech | Szabályozás

A következő évek digitális transzformációs irányait jelöli ki az EU jogalkotási térképe, amelyet dr. Horváth Katalin, a CMS Hungary technológiai jogi csapatának szenior tanácsadója mutatott be tavaly év végén a FinTechShow-n. A bankok, fintech cégek digitális fejlesztéseinek meghatározó részét a szabályozói megfelelés teszi ki, ezért a 2023-as (és a következő) év(ek) digitális projektjeinek tervezésekor érdemes egy pillantást vetni erre a térképre is. Összefoglaló azok számára, akik időben fel akarnak készülni a bank- és fintech szektor digitális fejlődését meghatározó változásokra.

Az EU jogalkotási térképe a bank- és fintech szektorra

A legfontosabb tudnivalók a bank- és fintech szektor digitális fejlődését meghatározó EU-s jogalkotási lépésekről. 10+1 EU-s irányelv, rendelet és módosítás, amelyek hatással lesznek a digitális pénzügyi technológiák fejlődésére, a digitális pénzügyi szolgáltatásokra a következő években.

EU jogalkotási térkép bankok fintech cégek számára

Forrás: dr. Horváth Katalin, a CMS Hungary senior tanácsadójának a FinTechShow 6.0 konferencián tartott előadásából

1. DORA rendelet: Digitális Működési Reziliencia előírásai a bankszektorban és a Fintech módosító irányelv a DORA összhang megteremtésére

Mit szabályoz?

A pénzügyi szervezetekre alkalmazandó követelmények:
1. Tájékozott, felelős és képzett menedzsment
2. Kockázatkezelési követelmények: IKT stratégiák, szabályzatok, eljárásrendek, auditok, kontrollfunkciók, védelem és megelőzés, kontroll funkciók, BCP? DRP, Backup
3. Jelentős, IKT-vonatkozású biztonsági események bejelentése.
4. A digitális működési reziliencia tesztelése, penetrációs tesztek.
Adatmegosztás – kiberfenyegetések és sebezhetőségek.
Harmadik féltől eredő IKT-kockázatok kezelése (beszállítók): nyilvántartás, hatósági bejelentési kötelezettség, lényeges és kritikus funkciók azonosítása, kockázatértékelés, IKT koncentrációs kockázatértékelés, exit stratégia, due diligence
Harmadik fél IKT-szolgáltatók és pénzügyi szervezetek közötti szerződések követelményei.
Kritikus IKT beszállítók felvigyázási kerete – kritikus szolgáltatók kijelölése, hatósági felvigyázása, értékelése, bírságok.
Hatóságok – együttműködés, felügyelet és végrehajtás.
Összes érintett meglévő irányelv hozzáigazítása a DORA-hoz (MIFID2, CRD, PSD2, SOLVENCY2

A felkészülés lépései:

Új munkakörök létrehozása: IKT auditor, média szóvivő incidensekre
IKT beszállítókkal kötött szerződések felülvizsgálata
Belső stratégiák, szabályzatok, eljárásrendek felülvizsgálata
Kockázatértékelések elkészítése

Új dokumentáció:

Digitális reziliencia stratégia
Mentési szabályzat
Krízis kommunikációs terv
Incidens kommunikációs terv és szabályzat
IKT koncentrációs kockázatértékelés

DORA Rendelet – új uniós kiberbiztonsági szabályozás a pénzügyi szektornak | 2022.03.30.

Az Európai Bizottság 2021-ben a Digitális Pénzügyi Csomag részeként közzétette a pénzügyi szektorra vonatkozó digitális működési reziliencia rendelettervezetet (Digital Operational Resilience Act – DORA), amellyel a teljes EU-s pénzügyi szektorra egységes, arányossági és kockázatalapú megközelítésen alapuló kiberbiztonsági követelményeket kíván bevezetni a fogyasztói bizalom növelése és a határon átnyúló működés megkönnyítése érdekében.

2. DORA testvére, a Hálózati és Információbiztonsági (NIS2) irányelv

Mit szabályoz?

Kötelezettségek a tagállamok számára a kiberbiztonsági stratégia elfogadására, a hatóságok, az egyedüli kapcsolattartó pontok és a számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) kijelölésére.

„Alapvető szervezetek” (pl. energia, bank, pénzügy stb.) és „fontos szervezetek” számára külön előírások:

Kiberbiztonsági kockázatkezelési és jelentéstételi kötelezettségek.
Beszállítók kiberbiztonsági gyakorlatának ellenőrzése.
Bejelentési kötelezettség szolgáltatásnyújtásra jelentős hatással vagy potenciális hatással bíró eseményről, kiberfenyegetésről
IKT termékek és szolgáltatások kötelező tanúsítása az európai tanúsítási rendszerben

A hatály alá nem tartozó szervezetek önkéntes bejelentései jelentős eseményekről, kiberfenyegetésekről, majdnem bekövetkezett eseményekről.

A felkészülés lépései:

Kiberbiztonsági kockázatértékelések elvégzése.
Beazonosítás, hogy alapvető vagy fontos szervezetnek minősül-e a szolgáltató.
Beszállítók ellenőrzése.
Beszállítói szerződések módosítása.
Felkészülés a bejelentési kötelezettségek teljesítésére.
Kötelező tanúsítások elvégzése.

3. Cyber Resilience Act (CRA Rendelet)

Mit szabályoz?

Kiberbiztonsági előírások a digitális elemeket tartalmazó termékekre (szoftver és hardver), amik kapcsolatban állnak egy eszközzel vagy hálózattal.

Kritikus termékekre szigorúbb szabályok (jelszókezelő rendszer, vírusírtó, VPN, távoli hozzáférés szoftverek, operációs rendszerek, tűzfalak, intelligens kártyák, stb.).

A gyártókat terhelő új kötelezettségek:

Kiberbiztonsági kockázatértékelés.
Security by design.
Alapvető kiberbiztonsági követelmények betartása.
Sebezhetőségi vizsgálatok, sebezhetőség bejelentési és incidens bejelentési kötelezettség.
Vásárlók tájékoztatása a frissítésekről, adatok eltávolításáról, termék használatáról.

A felkészülés lépései:

Saját fejlesztésű banki, fintech rendszereknél a kritikus termékek azonosítása.
Saját fejlesztésű rendszereknél a felsorolt dokumentációk elkészítése, eljárásrendek bevezetése.
Saját fejlesztésű rendszereknél az ügyfelek tájékoztatása.

4. MiCA Rendelet – a kriptoeszközök új szabályozása

Mit szabályoz?

Európai szinten egységesíti a kriptoeszközökre, kibocsátóikra, felajánlókra és a szolgáltatókra vonatkozó szabályokat.
Hatálya kizárólag azon kriptoeszkökre terjed ki, amelyek az uniós pénzügyi szolgáltatási jogszabályok alapján nem minősülnek pl. pénzügyi eszköznek, betétnek, vagy struktúrált betétnek.

A felkészülés lépései:

A rendelet értelmében azok a szolgáltatók, amelyek az EU területén általános kriptoeszközöket hoznak nyilvános forgalomba vagy ezeket kereskedési platformokra kívánják bevezetni – és nem tartoznak mentesség hatálya alá – részletes szabályoknak kell megfelelniük.

Szigorú szabályozásra számíthatnak a kriptoeszközök szolgáltatói | 2021.01.22.

Az Európai Tanács új rendelet tervezete értelmében a kriptoeszközök szolgáltatóinak leghamarabb két év múlva szigorú engedélyezési, szervezeti és közzétételi szabályoknak kell megfelelniük. Az európai szabályozók a digitális pénzügyi csomag keretében kidolgozták a más szabályozott terméknek nem minősülő, kriptoeszközök piacairól szóló, ún. MiCA rendelettervezetet.

5. DLT Pilot Regime rendelet az elosztott főkönyvi technológián alapuló piaci infrastruktúrák kísérleti rendszeréről

Mit szabályoz?

Regulatory sandbox jellegű szabályozás és kísérleti rendszer bevezetése a DLT-n alapuló, a MiFID II alapján pénzügyi eszköznek minősülő kriptoeszközökkel kapcsolatos piaci infrastruktúrákra, mint például:

DLT alapú multilaterális kereskedési rendszerek (DLT MTF-ek).
DLT alapú értékpapír elszámolási rendszerek (DLT SSS).
DLT kereskedési és elszámolási rendszerek (DLT TSS).

Pénzügyi eszközök tokenizációjának segítése.

DLT alapú pénzügyi eszközök kereskedésének és elszámolásának fejlesztése.

Pénzügyi eszközök másodlagos piacának ösztönzése.

Önkéntes csatlakozás.

EU jog alóli egyes mentességek, könnyítések biztosítása (például CDSR alóli mentességek).

A felkészülés lépései:

Önkéntes csatlakozás benyújtása.

6. AI Act

Mit szabályoz?

Célja a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapítása.

MI-rendszerek EU-n belüli forgalomba hozatala, üzembe helyezése és használata.
Kockázat alapú megközelítés:
- Elfogadhatatlan kockázatú MI: teljes tilalom.
- Magas kockázatú AI (biometrikus azonosítás, hitelképesség vizsgálat, munkaerő toborzás, biztosítás scoring) – szigorúbb adatvédelem, kötelező dokumentáció, nyilvántartás, átláthatóság, tájékoztatási kötelezettség, emberi felügyelet, robosztusság, pontosság és biztonság, előzetes megfelelőségértékelés.
- Korlátozott kockázatú AI (chatbotok, érzelemfelismerő rendszerek): átláthatóság, tájékoztatás.
- Minden más AI: nincs külön kötelezettség.
Piaci nyomon követés és piacfelügyelet, bírság (6%, max. 30 millió EUR).

A felkészülés lépései:

AI rendszerek azonosítása, bekategorizálása.
Magas kockázatú AI rendszerek felmérése, dokumentáció elkészítése, nyilvántartás vezetés, tájékoztatási és egyéb kötelezettségek teljesítése.
Korlátozott kockázatú AI rendszerek azonosítása, átláthatósági, tájékoztatási kötelezettségek teljesítése

7. Irányelv a határon átnyúló AI által szerződésen kívül okozott kárért való felelősségre

Mit szabályoz?

Az AI rendszert több országban is használó pénzügyi intézményeket, Fintech szereplőket érinti.

A mesterséges intelligencia által szerződésen kívül okozott károkért való felelősség szabályait harmonizálja EU szinten, amikor az AI rendszerek szolgáltatói vagy alkalmazói felróhatóan nem felelnek meg az AI Act előírásainak.

Nagy kockázatú AI esetén a bíróság elrendelheti még per előtt a megfelelést igazoló dokumentumok átadását a perre készülő károsultnak (üzleti titkot bíróság mérlegeli). Ha nem adja át, vélelem amellett, hogy nem felelt meg az AI Act-nek.

Vélelem arra, hogy van ok-okozati összefüggés az MI által okozott kár és az MI szolgáltató/alkalmazó felróható magatartása között.

A felkészülés lépései:

Magas kockázatú AI dokumentáció gondos elkészítése, hogy a bírósági eljárásban egyből felhasználható legyen, megfelelő védelmet adjon a bírósági eljárásban, de még megfeleljen az AI Act-nek is.
AI-re vonatkozó beszállítói és ügyfél szerződésekben a felelősségkizáró rendelkezések átszövegezése.

8. European Digital Identity Regulation – az eIDAS Rendelet módosítása

Mit szabályoz?

Digitális azonosítás uniós szintű harmonizálása.

Európai digitális személyazonosság tárca létrehozása és kibocsátási feltételeinek meghatározása:

Elektronikus azonosítás alapján működik.
Tárolja és kezeli a személyazonossághoz kapcsolódó adatokat és attribútumokat, átadja kérésre szolgáltatóknak.
Tárolható benne az összes nemzeti személyazonosító és más dokumentumok is (pl. jövedelemigazolás).
QES és minősített bélyegző hozható létre benne.
Köz- és magánszolgáltatóknál használható személyazonosításra és hitelesítésre EU-szerte.
Csak egyszer kell megadni az adatokat hozzá.
Beépített kiberbiztonsági előírások.
A magánszemély dönti el, hogy melyik szolgáltatónak mely adatokat, mely dokumentumokat adja át a tárcából.

Európai Digitális Identitás Testület (EDIB) létrehozása.

Három új bizalmi szolgáltatás bevezetése:

Elektronikus archiválási szolgáltatás.
Elektronikus főkönyvek.
Távoli e-aláírást és bélyegzőt létrehozó eszközök kezelése.

A felkészülés lépései:

A mostani eIDAS-on és nemzeti előírásokon alapuló ügyfélazonosítási és hitelesítési rendszerek lecserélése a banki szerződések megkötésében.
A technológiai fejlesztések elvégzése a Tárcákból történő adatok átvételére.
A pénzmosási szabályzatok módosítása.
Elektronikus archiválási szolgáltatások igénybevétele.

9. Digital Services Act (DSA) és Digital Markets Act (DMA)

Mit szabályoz?

DSA:

Online platformokra és online óriásplatformokra, keresőmotorokra bejelentési, átláthatósági, jelentéstételi kötelezettségek előírása, szerződéses feltételek meghatározása, belső panaszkezelési rendszer létrehozása, visszaélésekkel szembeni intézkedések, online hirdetések átláthatósága, algoritmusok átláthatósága.
Banki online piacterekre is alkalmazandó lesz, külön szabályok: üzleti partnerek átvilágítása, értékesített termékek és szolgáltatások átvilágítása.
BNPL modellben jelentősége lesz.
Érinti a bankok tárhelyszolgáltatóit, felhőszolgáltatóit is.
BigTech FinTech és banki szolgáltatásait is érinti.

DMA:

Új versenyjogi keretrendszer a „kapuőr” platformszolgáltatók számára.
Operációs rendszerek, felhőszolgáltatások, hirdetési szolgáltatások, hirdetési hálózatok, keresőmotorok, hirdetési piacterek, közösségi média.
Átláthatósági előírások.
Üzleti felhasználók szabadsága.

A felkészülés lépései:

Banki online piacterekre vonatkozó szerződési feltételek módosítása, értékesítő partnerek és termékeik átvilágítása.
Online hirdetések és algoritmusok átláthatóságával kapcsolatos kötelezettségek teljesítése.
Tárhely és felhőszolgáltató beszállítókkal kötött szerződések módosítása.
Kapuőrnek minősülő szolgáltatóval kötött szerződések módosítása (op. rendszer, felhőszolgáltatók, stb.).

10. PSD3

Mit szabályoz?

A PSD2 Irányelv felülvizsgálata.
Az online fizetési szolgáltatások használatának megkönnyítése és biztonságosabbá tétele.
A fizetési szolgáltatások felhasználóinak jobb védelme a csalással, visszaélésekkel és fizetési problémákkal szemben.
Az innovatív pénzforgalmi szolgáltatások előmozdítása.
A pénzforgalmi szolgáltatásokat igénybe vevők jogainak megerősítése.

A felkészülés lépései:

Még nincs jogszabályszöveg.

+1. Rendelet a határokon átnyúló azonnali fizetésekre

Mit szabályoz?

A határokon átnyúló azonnali fizetési megoldások támogatása.
Hatékony ösztönzők a pénzforgalmi szolgáltatók számára, hogy azonnali átutalásokat kínáljanak euróban.
A fogyasztókra az azonnali átutalásokért felszámított díjak kérdésének kezelése.
A SEPA azonnali átutaláson alapuló fizetési megoldások és rendszerek interoperabilitásának támogatása.
Technikai standardok kialakítása.

A felkészülés lépései:

AFR 1.0 és 2.0 alapján kifejlesztett rendszerek mellett az EU-s AFR rendszer kialakítása

Új EU rendelet javaslat a határokon átnyúló azonnali fizetésekre | 2022.10.19.

Miközben Magyarországon a Magyar Nemzeti Bank (MNB) az azonnali fizetési rendszer (AFR) 2020. márciusi bevezetését követően már az AFR 2.0 verzióján dolgozik, és célja az, hogy 2030-ra a tranzakciók fele elektronikusan menjen végbe, az Európai Bizottság még csak most gondolkodik a határon átnyúló azonnali fizetések egységes uniós szabályozásáról annak széttöredezettsége miatt.

Címlapfotón: dr. Horváth Katalin, a CMS Hungary technológiai jogi csapatának szenior tanácsadója. Fotó forrása: FinTech Group Kft. Készítette: Kovács Dávid.

Címkék:

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

2024. október 15. FinTechShow

2024. november 26. BankTechShow

Itt a digitális transzformáció irányait kijelölő térkép a bankok, fintech cégek számára

Az EU jogalkotási térképe a bank- és fintech szektorra

1. DORA rendelet: Digitális Működési Reziliencia előírásai a bankszektorban és a Fintech módosító irányelv a DORA összhang megteremtésére

DORA Rendelet – új uniós kiberbiztonsági szabályozás a pénzügyi szektornak | 2022.03.30.

2. DORA testvére, a Hálózati és Információbiztonsági (NIS2) irányelv

3. Cyber Resilience Act (CRA Rendelet)

4. MiCA Rendelet – a kriptoeszközök új szabályozása

Szigorú szabályozásra számíthatnak a kriptoeszközök szolgáltatói | 2021.01.22.

5. DLT Pilot Regime rendelet az elosztott főkönyvi technológián alapuló piaci infrastruktúrák kísérleti rendszeréről

6. AI Act

7. Irányelv a határon átnyúló AI által szerződésen kívül okozott kárért való felelősségre

8. European Digital Identity Regulation – az eIDAS Rendelet módosítása

9. Digital Services Act (DSA) és Digital Markets Act (DMA)

10. PSD3

+1. Rendelet a határokon átnyúló azonnali fizetésekre

Új EU rendelet javaslat a határokon átnyúló azonnali fizetésekre | 2022.10.19.

2024. október 15.
FinTechShow

2024. november 26.
BankTechShow